Condividi tramite


Esercitazione: Configurare Cloudflare Web Application Firewall con Microsoft Entra per ID esterno

Questa esercitazione illustra come configurare Cloudflare Web Application Firewall (Cloudflare WAF) per proteggere l'organizzazione da attacchi, ad esempio DDoS (Distributed Denial of Service), bot dannosi, Open Worldwide Application Security Project (OWASP) Top-10 security risks e altri.

Prerequisiti

Per iniziare, è necessario:

  • Microsoft Entra per ID esterno tenant
  • Frontdoor di Microsoft Azure (AFD)
  • Account Cloudflare con WAF

Informazioni sui tenant e sulla protezione delle app per consumer e clienti con Microsoft Entra per ID esterno.

Descrizione dello scenario

  • Microsoft Entra per ID esterno tenant: provider di identità (IdP) e server di autorizzazione che verifica le credenziali utente con criteri personalizzati definiti per il tenant.
  • Frontdoor di Azure: abilita domini URL personalizzati per Microsoft Entra per ID esterno. Il traffico verso domini URL personalizzati passa attraverso Cloudflare WAF, quindi passa ad AFD e quindi al tenant Microsoft Entra per ID esterno.
  • Cloudflare WAF : controlli di sicurezza per proteggere il traffico verso il server di autorizzazione.

Abilitare domini URL personalizzati

Il primo passaggio consiste nell'abilitare domini personalizzati con AFD. Usare le istruzioni in Abilitare domini URL personalizzati per le app nei tenant esterni (anteprima).

Creare un account Cloudflare

  1. Passare a Cloudflare.com/plans per creare un account.
  2. Per abilitare WAF, nella scheda Servizi applicazioni selezionare Pro.

Configurare il server dei nomi di dominio (DNS)

Abilitare WAF per un dominio.

  1. Nella console DNS, per CNAME, abilitare l'impostazione proxy.

    Screenshot delle opzioni CNAME.

  2. In DNS selezionare Proxy status (Stato proxy).

  3. Lo stato diventa arancione.

    Screenshot dello stato proxy.

Controlli di sicurezza cloudflare

Per una protezione ottimale, è consigliabile abilitare i controlli di sicurezza Cloudflare.

Protezione DDoS

  1. Passare al dashboard Cloudflare.

  2. Espandere la sezione Sicurezza.

  3. Selezionare DDoS.

  4. Viene visualizzato un messaggio .

    Screenshot del messaggio di protezione DDoS.

Protezione dei bot

  1. Passare al dashboard Cloudflare.

  2. Espandere la sezione Sicurezza.

  3. In Configura modalità di combattimento super bot selezionare Blocca per Sicuramente automatizzato.

  4. Per Probabilmente automatizzato, selezionare Sfida gestita.

  5. Per Bot verificati selezionare Consenti.

    Screenshot delle opzioni di protezione del bot.

Regole del firewall: traffico dalla rete Tor

È consigliabile bloccare il traffico proveniente dalla rete proxy Tor, a meno che l'organizzazione non debba supportare il traffico.

Nota

Se non è possibile bloccare il traffico tor, selezionare Verifica interattiva, non Blocca.

Bloccare il traffico dalla rete Tor

  1. Passare al dashboard Cloudflare.

  2. Espandere la sezione Sicurezza.

  3. Selezionare WAF.

  4. Seleziona Crea regola.

  5. Per Nome regola immettere un nome pertinente.

  6. Per Se le richieste in ingresso corrispondono, in Campo selezionare Continente.

  7. Per Operatore selezionare uguale.

  8. In Valore selezionare Tor.

  9. Per Quindi eseguire un'azione, selezionare Blocca.

  10. Per Place at (Posizione in) selezionare First (Primo).

  11. Seleziona Distribuisci.

    Screenshot della finestra di dialogo Crea regola.

Nota

È possibile aggiungere pagine HTML personalizzate per i visitatori.

Regole del firewall: traffico da paesi o aree geografiche

È consigliabile controllare rigorosamente la sicurezza sul traffico proveniente da paesi o aree geografiche in cui è improbabile che si verifichino attività aziendali, a meno che l'organizzazione non abbia un motivo aziendale per supportare il traffico da tutti i paesi o le aree geografiche.

Nota

Se non è possibile bloccare il traffico da un paese o un'area geografica, selezionare Verifica interattiva, non Blocca.

Bloccare il traffico da paesi o aree geografiche

Per le istruzioni seguenti, è possibile aggiungere pagine HTML personalizzate per i visitatori.

  1. Passare al dashboard Cloudflare.

  2. Espandere la sezione Sicurezza.

  3. Selezionare WAF.

  4. Seleziona Crea regola.

  5. Per Nome regola immettere un nome pertinente.

  6. Per Se le richieste in ingresso corrispondono, in Campo selezionare Paese o Continente.

  7. Per Operatore selezionare uguale.

  8. In Valore selezionare il paese o il continente da bloccare.

  9. Per Quindi eseguire un'azione, selezionare Blocca.

  10. Per Inserisci in, selezionare Ultima.

  11. Seleziona Distribuisci.

    Screenshot del campo nome nella finestra di dialogo Crea regola.

Set di regole gestite e OWASP

  1. Selezionare Regole gestite.

  2. Per Cloudflare Managed Ruleset selezionare Abilitato.

  3. Per Cloudflare OWASP Core Ruleset selezionare Abilitato.

    Screenshot dei set di regole.

Passaggi successivi